أفضل الممارسات لـ Azure Sentinel
توفر مجموعة أفضل الممارسات هذه إرشادات لاستخدامها عند نشر Microsoft Sentinel وإدارته واستخدامه، بما في ذلك ارتباطات إلى مقالات أخرى للحصول على مزيد من المعلومات.
هام
قبل نشر Microsoft Sentinel، راجع أنشطة ما قبل النشر والمتطلبات الأساسية وأكملها.
مراجع أفضل الممارسات
تحتوي وثائق Microsoft Sentinel على إرشادات أفضل الممارسات المنتشرة في جميع مقالاتنا. بالإضافة إلى المحتوى الوارد في هذه المقالة، راجع ما يلي للحصول على مزيد من المعلومات:
مسؤول المستخدمين:
- أنشطة ما قبل النشر والمتطلبات الأساسية لنشر Microsoft Sentinel
- أفضل ممارسة لبنية مساحة عمل Microsoft Sentinel
- تصمم بنية مساحة عمل Microsoft Sentinel الخاصة بك
- نموذج لتصميمات مساحة عمل Microsoft Sentinel
- أفضل ممارسات جمع البيانات
- تكاليف وفواتير Microsoft Azure Sentinel
- أذونات الوصول في Microsoft Sentinel
- حماية ملكية MSSP الفكرية في Microsoft Sentinel
- تكامل التحليل الذكي للمخاطر في Microsoft Sentinel
- محتوى Microsoft Sentinel وحلوله
- تدقيق استعلامات وأنشطة Microsoft Sentinel
المحللون:
لمزيد من المعلومات، راجع أيضًا فيديو: تصميم SecOps من أجل النجاح: أفضل الممارسات لنشر Microsoft Sentinel
أنشطة SOC العادية التي ينبغي تنفيذها
جدولة أنشطة Microsoft Sentinel التالية بانتظام لضمان استمرار أفضل ممارسات الأمان:
المهام اليومية
فرز الحوادث والتحقيق فيها. راجع صفحة Incidents في Microsoft Sentinel للتحقق من الحوادث الجديدة الناتجة عن قواعد التحليلات المكونة حاليًا، وبدء التحقيق في أي حوادث جديدة. لمزيد من المعلومات، راجع البرنامج التعليمي: التحقيق في الحوادث باستخدامMicrosoft Azure Sentinel.
استكشاف استعلامات التتبع والإشارات المرجعية. استكشف النتائج لجميع الاستعلامات المضمنة، وقم بتحديث استعلامات التتبع والإشارات المرجعية الحالية. إنشاء حوادث جديدة يدويًا أو تحديث الحوادث القديمة إن كان ذلك ممكنًا. لمزيد من المعلومات، انظر:
القواعد التحليلية. مراجعة قواعد التحليلات الجديدة وتمكينها عند الحاجة، بما في ذلك القواعد التي تم إصدارها حديثًا أو المتوفرة حديثًا من موصلات البيانات المتصلة مؤخرًا.
موصلات البيانات. مراجع حالة السجل الأخير الذي تم استلامه من كل موصل بيانات وتاريخه ووقته للتأكد من تدفق البيانات. تحقق من الموصلات الجديدة، وراجع الاستيعاب للتأكد من عدم تجاوز الحدود المحددة. لمزيد من المعلومات، راجع أفضل ممارسات جمع البيانات واتصال مصادر البيانات.
عامل Log Analytics. تحقق من أن الخوادم ومحطات العمل متصلة بنشاط بمساحة العمل، ثم قم باستكشاف أخطاء أي اتصالات فاشلة وإصلاحها. لمزيد من المعلومات، راجع نظرة عامة على عامل Log Analytics.
حالات فشل دليل المبادئ. تحقق من حالات تشغيل دليل المبادئ واستكشاف أي حالات فشل وإصلاحها. لمزيد من المعلومات، راجع البرنامج التعليمي: استخدام دليل المبادئ مع قواعد التشغيل التلقائي في Microsoft Azure Sentinel.
المهام الأسبوعية
مراجعة المحتوى للحلول أو المحتوى المستقل. احصل على أي تحديثات محتوى للحلول المثبتة أو المحتوى المستقل من مركز المحتوى. راجع الحلول الجديدة أو المحتوى المستقل الذي قد يكون له قيمة لبيئتك، مثل قواعد التحليلات أو المصنفات أو استعلامات التتبع أو أدلة المبادئ.
تدقيق Microsoft Azure Sentinel. راجع نشاط Microsoft Azure Sentinel لمعرفة من قام بتحديث الموارد أو حذفها، مثل قواعد التحليلات والإشارات المرجعية وما إلى ذلك. لمزيد من المعلومات، راجع تدقيق استعلامات Microsoft Azure Sentinel وأنشطته.
المهام الشهرية
مراجعة وصول المستخدم. راجع الأذونات للمستخدمين وتحقق من المستخدمين غير النشطين. لمزيد من المعلومات، راجعالأذونات في Microsoft Azure Sentinel.
مراجعة مساحة عمل Log Analytics. تأكد من أن نهج استبقاء بيانات مساحة عمل Log Analytics لا يزال متوافقًا مع نهج مؤسستك. لمزيد من المعلومات، راجع نهج استبقاء البيانات ودمج Azure Data Explorer لاستبقاء السجل على المدى الطويل.
التكامل مع خدمات أمان Microsoft
يتم تمكين Microsoft Sentinel من خلال المكونات التي ترسل البيانات إلى مساحة العمل الخاصة بك، ويتم تعزيزها من خلال عمليات التكامل مع خدمات Microsoft الأخرى. تسمح أي سجلات يتم إدخالها في منتجات مثل Microsoft Defender for Cloud Apps، و Microsoft Defender لنقطة النهاية و Microsoft Defender for Identity لهذه الخدمات بإنشاء عمليات الكشف، وتوفير عمليات الكشف هذه بدورها إلى Microsoft Sentinel. يمكن أيضًا استيعاب السجلات مباشرة في Microsoft Azure Sentinel لتوفير صورة أكمل للأحداث والحوادث.
على سبيل المثال، توضح الصورة التالية كيفية استيعاب Microsoft Azure Sentinel للبيانات من خدمات Microsoft الأخرى والأنظمة الأساسية متعددة السحابة والشركاء لتوفير تغطية للبيئة الخاصة بك:
أكثر من مجرد استيعاب التنبيهات والسجلات من مصادر أخرى، فإن Microsoft Sentinel تقوم أيضًا بما يلي:
- استخدام المعلومات التي يستوعبها مع التعلم الآلي الذي يسمح بربط أفضل للأحداث وتجميع التنبيهات واكتشاف الحالات الشاذة والمزيد.
- إنشاء وعرض عناصر تحكم تفاعلية عبر المصنفات، يعرض الاتجاهات والمعلومات ذات الصلة والبيانات الرئيسية المستخدمة لكل من مهام المسؤول والتحقيقات.
- تشغيل أدلة المبادئ للعمل على التنبيهات، يجمع المعلومات، وينفذ الإجراءات على العناصر، ويرسل الإعلامات إلى الأنظمة الأساسية المختلفة.
- التكامل مع الأنظمة الأساسية الشريكة، مثل ServiceNow وJira، لتوفير الخدمات الأساسية لفرق SOC.
- استيعاب وجلب موجزات الإثراء من الأنظمة الأساسية للتحليل الذكي للمخاطر لجلب بيانات قيمة للتحقيق.
إدارة الحوادث والاستجابة لها
تعرض الصورة التالية الخطوات الموصى بها في عملية إدارة الحوادث والاستجابة لها.
توفر الأقسام التالية أوصافًا عالية المستوى لكيفية استخدام ميزات Microsoft Azure Sentinel لإدارة الحوادث والاستجابة لها طوال العملية. لمزيد من المعلومات، راجع البرنامج التعليمي: التحقيق في الحوادث باستخدامMicrosoft Azure Sentinel.
استخدام صفحة الحوادث والرسم البياني للتحقيق
ابدأ أي عملية فرز للحوادث الجديدة على صفحة أحداث Microsoft Sentinel في Microsoft Azure Sentinelوالرسم البياني للتحقيق.
اكتشف الكيانات الرئيسية، مثل الحسابات وعناوين URL وعنوان IP وأسماء المضيفين والأنشطة والجدول الزمني والمزيد. استخدم هذه البيانات لفهم ما إذا كان لديك نتيجة إيجابية خطأ في متناول اليد، وفي هذه الحالة يمكنك إغلاق الحادث مباشرة.
يتم عرض أي حوادث تم إنشاؤها على صفحة Incidents، والتي تعمل كموقع مركزي للفرز والتحقيق المبكر. تسرد صفحة Incidents العنوان والخطورة والتنبيهات والسجلات ذات الصلة وأي كيانات ذات أهمية ذات صلة. كما توفر الحوادث قفزة سريعة إلى السجلات المجمعة وأي أدوات تتعلق بالحدث.
تعمل صفحة Incidents مع الرسم البياني للتحقيق، وهو أداة تفاعلية تسمح للمستخدمين باستكشاف التنبيه والتعمق فيه لإظهار النطاق الكامل للهجوم. يمكن للمستخدمين بعد ذلك إنشاء مخطط زمني للأحداث واكتشاف مدى سلسلة المخاطر.
إذا اكتشفت أن نتيجة الحدث إيجابي حقيقي، فاتخذ إجراء مباشرة من صفحة Incidents للتحقيق في السجلات والكيانات واستكشاف سلسلة المخاطر. بعد تحديد المخاطر وإنشاء خطة عمل، استخدم أدوات أخرى في Microsoft Azure Sentinel وخدمات أمان Microsoft الأخرى لمتابعة التحقيق.
معالجة الحوادث باستخدام المصنفات
بالإضافة إلى تصور المعلومات والاتجاهات وعرضها، تعد مصنفات Microsoft Azure Sentinel أدوات تحقيق قيمة.
على سبيل المثال، استخدم مصنف Investigation Insights للتحقيق في حوادث معينة مع أي كيانات وتنبيهات مرتبطة. يمكنك هذا المصنف من التعمق في الكيانات من خلال عرض السجلات والإجراءات والتنبيهات ذات الصلة.
التعامل مع الحوادث باستخدام تتبع المخاطر
في أثناء التحقيق والبحث عن الأسباب الجذرية، قم بتشغيل استعلامات تتبع المخاطر المضمنة وتحقق من النتائج بحثًا عن أي مؤشرات للاختراق.
أثناء التحقيق، أو بعد اتخاذ خطوات لمعالجة المخاطر والقضاء عليها، استخدم البث المباشر للمراقبة، في الوقت الفعلي، سواء كانت هناك أي أحداث ضارة مستمرة، أو إذا كانت الأحداث الضارة لا تزال مستمرة.
معالجة الحوادث باستخدام سلوك الكيان
يسمح سلوك الكيان في Microsoft Azure Sentinel للمستخدمين بمراجعة الإجراءات والتنبيهات لكيانات معينة والتحقيق فيها، مثل التحقيق في الحسابات وأسماء المضيفين. لمزيد من المعلومات، انظر:
- قم بتمكين تحليلات سلوك المستخدم والكيان (UEBA) في Microsoft Azure Sentinel
- التحقيق في الحوادث باستخدام بيانات UEBA
- مرجع تحسينات Microsoft Azure Sentinel UEBA
التعامل مع الحوادث باستخدام قوائم المراقبة وتحليل ذكي للمخاطر
لزيادة عمليات الكشف المستندة إلى التحليل الذكي للمخاطر إلى أقصى حد، تأكد من استخدام موصلات بيانات تحليل ذكي للمخاطر لاستيعاب مؤشرات الاختراق:
- قم بتوصيل مصادر البيانات المطلوبة بواسطة تنبيهات Fusion وTI Map
- استيعاب المؤشرات من الأنظمة الأساسية TAXII و TIP
استخدم مؤشرات التسوية في قواعد التحليلات، عند تتبع المخاطر، أو التحقيق في السجلات، أو إنشاء المزيد من الحوادث.
استخدم قائمة المشاهدة تجمع البيانات من البيانات المستلمة والمصادر الخارجية، مثل بيانات الإثراء. على سبيل المثال، قم بإنشاء قوائم لنطاقات عناوين IP المستخدمة من قِبل مؤسستك أو الموظفين الذين تم إنهاء خدمتهم مؤخرًا. استخدم قوائم المشاهدة مع أدلة المبادئ لجمع بيانات الإثراء، مثل إضافة عناوين IP ضارة إلى قوائم المشاهدة لاستخدامها أثناء الكشف وتعقب المخاطر والتحقيقات.
في أثناء وقوع حادث، استخدم قوائم المشاهدة لاحتواء بيانات التحقيق، ثم احذفها عند الانتهاء من التحقيق لضمان عدم بقاء البيانات الحساسة في العرض.
الخطوات التالية
لبدء العمل باستخدام Microsoft Azure Sentinel راجع: